Am vergangenen Mittwoch haben wir über die die datenschutzrechtliche Perspektive der Whois -Datenbank berichtet. Nur wenige Tage später hat sich das Landgericht Bonn der Ansicht von EPAG angeschlossen und den Antrag von ICANN als unbegründet zurückgewiesen. Hintergrund Das Whois-Protokoll stellt Daten zur Verfügung, die in den Anwendungsbereich der DSGVO fallen (z.B. Eigentümer, Name, Adresse, E-Mail-Adresse oder Telefonnummer […]
IT-Sicherheit
IT-Sicherheit
Whois Geolokalisierung nach den Regeln der DSGVO
Nachdem wir bereits in früheren Beiträgen (hier und hier) die Funktionsweise der Geolokalisierung und den Ursprung der dafür erforderlichen Daten aus der Whois-Datenbank betrachtet haben, wollen wir uns in diesem Beitrag der datenschutzrechtlichen Perspektive der Whois-Datenbank widmen. Schließlich kann es sich auch bei den Kontaktinformationen des Besitzers einer IP-Adresse um personenbezogene Daten handeln, welche im […]
E-Mail für mich – äh, dich!
Die Standards OpenPGP und S/MIME sicherten eine verschlüsselte E-Mail-Kommunikation, die selbst die NSA nicht umgehen konnte – bis heute. Dass eine normale E-Mail hinsichtlich ihrer Sicherheit mit einer Postkarte gleichzusetzten ist, stellt schon lange kein Geheimnis mehr dar. Dass jedoch auch E-Mails, die mit den o.g. Standards verschlüsselt wurden unsicher sind ist neu. Es gelang […]
Wo steht der Server? – Whois Geolokalisierung
In unserem ersten Beitrag dieser Reihe haben wir bereits kurz auf das Problem der potentiellen Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland im Rahmen des Einsatzes von Auftragsverarbeitern aufmerksam gemacht. In diesem Zusammenhang haben wir auch auf die Möglichkeit der Überprüfung von Standorten des Empfängers durch Online Tools mittels Geolokalisierung hingewiesen. Geolokalisierung In […]
ZITiS – die Kritiker werden lauter
Die „Zentrale Stelle für Informationstechnik im Sicherheitsbereich“, kurz ZITiS sieht sich vermehrter Kritik ausgesetzt. Die ZITiS ist eine durch Erlass des ehemaligen Bundesinnenministers Thomas de Maizière entstandene Bundesbehörde, die ihre Arbeit im letzten Jahr aufgenommen hat. ZITiS soll Überwachungstechniken entwickeln und diese quasi als Dienstleister der Bundespolizei, dem Bundeskriminalamt und dem Verfassungsschutz zur Verfügung stellen. […]
Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland
Viele Unternehmen in der EU betreiben Webseiten oder stellen Dienstleistungen im Internet zur Verfügung, welche die Verarbeitung von personenbezogenen Daten umfassen. Selbst für Unternehmen aus Drittstaaten gelten in den meisten Fällen aufgrund des Marktortprinzips für diese Datenverarbeitungen die Vorgaben der DSGVO. Eine große Rolle spielt in diesem Zusammenhang die Übermittlung von Daten in Drittländer außerhalb […]
TOM und die Datenschutzgrundverordnung
In der Fachzeitschrift Datenschutz und Datensicherheit (DuD 3/2018, Seite 174 – 177) geht unser Mitarbeiter Thomas Wennemann auf die Neuerungen der Datenschutz-Grundverordnung (DSGVO) zum Thema technische und organisatorische Maßnahmen (TOM) ein. Neben einer Beschreibung der Anforderungen der DSGVO an zu treffende TOM wird ein möglicher Lösungsansatz für eine risikoorientierte Betrachtung zur Ermittlung der erforderlichen TOM […]
Ein sicheres Startup
Egal ob Blockchain, Internet of Things oder AI – viele gute Ideen werden von Startups an den Markt gebracht. Doch während die Unternehmen sich bemühen möglichst schnell ein Produkt auf den Markt zu bringen, bleibt die IT-Sicherheit dabei häufig auf der Strecke. Das kann sowohl die Sicherheit des Produkts als auch die Sicherheit des Startups […]
Cryptomining und wie man sich schützt
Der Missbrauch von Browsern, um Cryptowährungen zu erzeugen, ist ein scheinbar wachsender Trend. Zuletzt war es Angreifern gelungen, ein entsprechendes Programm auf 4275 Webseiten, darunter auch US-Regierungs-Webseiten, zu installieren. Auch sind es nicht nur Angreifer, die sich Zugriff auf eine Webseite verschafft habe, die solche Programme in Webseiten einbinden. Auch die Betreiber der Webseiten haben […]
What’s new in Microsoft Edge? Heute (und bereits seit einigen Tagen) eine kritische Zero-Day Lücke.
Die Forschungsgruppe von Google namens „Projekt-Zero“ hat eine kritische Zero-Day Sicherheitslücke im Microsoft Edge Browser entdeckt. Welche, auch nach einer 104-tägigen Karenzphase noch nicht mit einem Update versehen werden kann, da, so Microsoft (siehe den Kommentar 1), der Umfang der Lücke zu komplex sei, um diese in so kurzer Zeit zu beheben. Angesichts dieser Sicherheitslücke […]
Geschichte der Quellen
Wie wir im Artikel „Durchblick im Dschungel von Verschlüsselung und Schlüssellängen – was ist der Stand der Technik?“ vom 18.12.2017 beschrieben haben, bietet die Seite keylength.com eine recht aktuelle Übersicht über Schlüssellängen. Ein etwas tieferer Blick in die Quellenangaben der Seite enthüllt zum einen das Kürzel „ECRYPT“ und zum anderen die Autoren Lenstra und Verheul. […]
Nach dem Firefox nun auch der Flash Player von Adobe – Kritische Zero Day Lücke
Jede Desktoplösung ist von dieser Schwachstelle betroffen, ein Update ist aber in Sicht: „Adobe will address this vulnerability in a release planned for the week of February 5.“ [1] Im Vergleich zur Firefox Lücke muss der Anwender hier selber „aktiv“ werden, damit er erfolgreich angegriffen werden kann. Dem Angriff geht eine Übertragung eines Office-Dokumentes voraus, […]
Sicherheitslücke bei Firefox bis Version 58.0.0
Wer den Firefox von Mozilla für Desktop-Computer nutzt, sollte dringend das außerplanmäßige Sicherheits-Update 58.0.1 installieren. Der Grund für die Veröffentlichung dieses Updates ist eine Sicherheitslücke, die entsprechend eingerichteten Webseiten erlaubt, beliebigen Code auf dem Anwendercomputer auszuführen. [1] Das Risiko dieser Schwachstelle ist als sehr hoch einzustufen. Die Auswirkung der Lücke besteht darin, dass ein Angreifer […]
Der IT-Sicherheitskatalog für Energieanlagen kommt … bald
Die Bundesnetzagentur hat die Konsultationsfassung für den IT-Sicherheitskatalog gemäß § 11 Absatz 1b Energiewirtschaftsgesetz für Energieanlagen und Gasspeicher veröffentlicht Dieser Sicherheitskatalog muss gemäß der BSI-KRITIS-Verordnung für alle Energieanlagen mit einer installierten Netto-Nennleistung von 420 MW und für Gasspeicheranlagen mit 5190 GWh/Jahr umgesetzt werden. Wie bereits für die Energienetzbetreiber ist auch in diesem IT-Sicherheitskatalog die Einführung […]
Was ist Belastbarkeit im Sinne von Art. 32 DSGVO?
In Artikel 32 Abs 1 lit. b DSGVO wird das neue Schutzziel der „Belastbarkeit“ eingeführt. Allerdings wird nicht definiert, was damit gemeint ist. Schnell drängt sich der Gedanke auf, dass der Verordnungsgeber an dieser Stelle robuste Systeme fordert. Ein technisches System gilt dann als robust, wenn es die meisten erwartbaren Störereignisse bewältigt, ohne dass seine […]